[情報] 思科交換器爆有山寨品企業升級韌體故障

去年秋天，某家IT公司的思科網路交換器在升級軟體後故障，經查發現原因竟然是用到了
仿冒品。

這家不知名的公司網路交換器故障後，找來F-Secure安全公司徹底檢查手上的思科網路交
換器，結果安全廠商發現這二台所謂的Cisco Catalyst 2960-X Series交換器，根本就不
是思科的產品，而是仿冒品，但是用了高超技巧企圖突破防止韌體篡改的開機程序。

研究人員說，山寨品實體架構和操作與思科正牌產品很像，兩台假貨用了不同方法來繞過
開機軟體驗證。仿冒品A加入一組電路，利用SLIMpro ROM程式碼的一種罕見情況來繞過用
於網路裝置加密和驗證的SLIMpro軟體驗證。F-Secure表示，目前已知SLIM ROM程式碼有
一TOCTOU (time-of-check to time-of-use)漏洞，已經被用來繞過對SLIMpro處理單元的
軟體簽章驗證。理論上，可能也會影響2960-X交換器真品（不過目前沒有報告證實此點）
。

仿冒品B則是在仿冒品A的修改基礎之上，再以不知名的整合電路取代EEPROM。研究人員認
為，B的例子顯示「廠商」為了製造這個仿冒品下了很大工夫設計、製造和測試上，不是
花了鉅資來複製思科的原始設計，就是取得了思科的工程文件，而打造出足以亂真的假貨
，這和一般低劣仿冒品很不一樣。

仿冒產品往往帶來可觀獲利，因此讓有心人鋌而走險。2019年4月思科曾在一天內查獲了
價值62.7萬美元的仿冒品。

參考資訊：如何從外觀來辨別仿冒品？


F-Secure並未在這兩台裝置發現任何後門程式，但是認為從其設計來看卻很可議。F-Secu
re資深顧問Dimtry Janushevich指出，雖然在本例中並非如此，但這類仿冒品可以很容易
修改，變成一個後門程式。本例中，仿冒者純粹出於經濟利益、騙人購買，但是它使用的
手法則和入侵企業的駭客一模一樣。

安全廠商指出，一般仿冒品的價格比真品便宜許多，讓客戶以為自己撿到便宜，但是這麼
做卻可能危及整個公司的安全風險。問題是，一般企業很難察覺，這次要不是交換器故障
，這家公司可能也不知道。而且若非整台機器拆開並細究軟體，企業也無從判斷裝置哪裏
被修改過。

為防買到假貨，安全廠商建議企業應原廠授權的零售商購買裝置，而且企業也要有採購內
部流程和政策，並確保所有裝置都要升級到原廠最新的軟體。此外，企業也要了解，同一
產品不同機型的外觀或多或少都會有點不同。

來源(有圖)：
netmag.tw/2020/07/21/思科交換器驚爆有山寨品？！企業升級交換器韌體

--